网络安全与管理：第四章 运输层安全

《网络安全与管理：第四章 运输层安全》由会员分享，可在线阅读，更多相关《网络安全与管理：第四章 运输层安全（38页珍藏版）》请在装配图网上搜索。

1、第四章 运输层安全郭茜北京科技大学运输层运输层提供应用进程间的逻辑通信复用（multiplexing）运输层可以同时为多个应用进程服务给每个应用进程指定一个端口来区分不同的应用进程进程寻址：使用套接字TCP层IP层应用1应用2应用3应用n端口1端口2端口3端口nUDP协议类型=17（TCP）源socket,目的socket=(源IP:目的port),(源IP:目的port)标识一个进程标识一个数据包三类端口熟知端口：0-1023登记端口：1024-49151没有熟知端口号的应用程序使用，需在IANA登记客户端口（临时端口）：49152-65535通信时，客户进程暂时使用通信结束后，这个端口号可

2、供其他客户进程以后使用熟知端口熟知端口协议协议20/2123538025143/110FTP（数据/控制）TELNET（远程登录）DNS（域名解析）HTTP（Web）SMTP（发邮件）IMAP/POP（收邮件）TCP通信的三个阶段建立连接传输数据释放连接TCP建立连接三次握手1.A向B发出连接请求2.B收到请求报文后，如同意，则发回确认报文3.A收到B发回的确认报文后，向B回复确认报文4.B收到A回复的确认报文后，通知应用进程，建立连接序号/确认号TCP报文的数据部分每个字节对应一个序号序号（SEQ）：报文中数据部分的第一个字节的序号确认号（ACK）：接收端期望下次收到的数据中的第一个字节的序

3、号SYN泛洪攻击攻击方服务器SYNSYNSYNSYNSYNSYNSYN/ACKSYN/ACKSYN/ACKSYN/ACKSYNACK没有应答分配缓冲区等待客户回应ACK1分配缓冲区等待客户回应ACK2分配缓冲区等待客户回应ACK3分配缓冲区等待客户回应ACK4分配缓冲区等待客户回应ACK5缓冲区空间不够防御方法1：限制一台计算机向服务器发送SYN包的次数防御方法2：先用代理服务器过滤掉可疑的SYN包TCP数据传输可靠的数据传输要求接收方对收到的数据进行确认，并且发送方要控制发包的速度确认机制：捎带确认机制极大提高确认效率，减少信道占用速度控制：滑动窗口机制发送端不可发送太多太快，导致接收端缓冲

4、区溢出单包确认机制接收方发送方累晕了我来了有你的快递我来了有你的快递我来了有你的快递有你的快递9：0010：0011：0018：00单包确认优点：可靠缺点：效率低，容易拥塞网络BA捎带确认机制你的快递18:00之前不来签收，就下趟再送9：0010：0011：0018：00有你的快递有你的快递有你的快递有你的快递马上来我等下一个一起签收这次真要去了不然快递员要走了再顺便发一个包吧马上来我等下一个一起签收马上来我等下一个一起签收我来了包捎带确认机制优点：效率高，不拥塞网络信道BA滑动窗口机制保证发送方发的速率不要太快，让接收方来得及接收在建立连接时，接收方告诉发送方窗口大小，发送方每次只能发窗口之

5、内的字节在收到接收方的确认之后，发送方的窗口向后移动1 100 101 200201 300 301 400401 500501 600601 700701 800801 900发送窗口可发送收到确认即可右移不可发送假设发送端要发送900字节数据，滑动窗口500字节1 100 101 200201 300 301 400401 500501 600601 700701 800801 900发送窗口已发送但未确认收到确认即可右移不可发送发送端：发送300字节可发送滑动窗口机制指针：数据发送到哪个字节了1 100 101 200201 300 301 400401 500501 600601 70

6、0701 800801 900发送窗口已发送并确认收到确认即可右移不可发送接收端回复确认报文：前200字节已收到可发送已发送未确认1 100 101 200201 300 301 400401 500501 600601 700701 800801 900发送窗口已发送并确认收到确认即可右移不可发送发送端：又发送了300字节已发送未确认可发送滑动窗口机制作业探测三台主机（某Web服务器，某邮件服务器，寝室的某台主机/自己的手机）的操作系统的类型使用ping（观察ttl值）使用Nmap（学习常用命令）TCP连接终止 友好终止TCP连接终止 友好终止四次挥手A向B发送连接释放请求报文B向A回应确认

7、报文，连接半关闭（B不再接收A的数据）B向A发出连接释放请求报文A向B回应确认报文，连接关闭ABSEQ=100SEQ=300ACK=101CTL=FINSEQ=101ACK=301CTL=ACKSEQ=301ACK=102CTL=ACKSEQ=102ACK=302CTL=FINSEQ=301ACK=102TCP连接终止 突然终止TCP连接终止 突然终止突然某方发送复位（RST）数据包双方必须终止这个连接ABSEQ=100SEQ=300ACK=101RST友好终止 v.s.突然终止友好终止使用FIN报文 缓冲区里FIN之前的包都发出去之后再发FIN包接收端收到FIN报文后，回复ACK包来确认突然

8、终止使用RST报文直接发RST包，丢弃缓存区的包接收端收到RST包后，不必发送ACK包来确认TCP复位攻击攻击者创建TCP复位数据包，将数据包分别发送到受害者和服务器，当两者收到复位数据包时，终止两者的连接受害者攻击者服务器互联网攻击者能够看到受害者和服务器间通信的网络受害者服务器攻击者SYNSYN+ACKACKDATARSTRST伪造RST数据包源IP、源端口、目标IP、目标端口、序号都要填对通过嗅探获得相关信息利用大滑动窗口漏洞猜测序号以A发往B的RST包为例1 100 101 200201 300 301 400401 500501 600601 700701 800801 900发送窗

9、口已发送并确认收到确认即可右移不可发送已发送未确认可发送序号要落在窗口内指针滑动窗口起始位置A每次发100字节利用大滑动窗口漏洞猜测序号ACK ack=201,window=500 RST seq=501ABDATAACK ack=201,window=500 RST seq=301ABDATA1 100 101 200201 300 301 400401 500501 600601 700701 800801 900发送窗口已发送并确认收到确认即可右移不可发送已发送未确认可发送序号要落在窗口内A每次发100字节解决方案：使用防火墙将进来的包带RST位的包丢弃。TCP会话劫持Morris 攻击

10、Robert T.Morris（老），A Weakness in the 4.2BSD Unix TCP/IP Software，1985年Joncheray 攻击 Laurent Joncheray，Simple Active Attack Against TCP，1995年Krauz 攻击Pavel Krauz（Hunt的作者）Joncheray 攻击 基本思想：扰乱客户和服务器之间的同步状态，改写客户与服务器之间的会话条件：攻击者与客户和服务器在同一局域网中1.攻击者等待客户与服务器之间的TCP连接正常开启2.攻击者伪装成客户向服务器发送RST包，使服务器的TCP连接关闭3.攻击者伪装成

11、客户向服务器发送TCP连接请求，序列号与客户最初选择的不同4.服务器与攻击者建立TCP连接，它为自己选择的序列号也与之前的不同客户并不知道这些，它仍然保持着之前双方的序列号这样，客户与服务器之间的序列号就被扰乱了，它们之间传输的报文不被对方接受攻击者作为中间人，通过改写收到的数据包，来维持客户与服务器之间的数据传输Joncheray 攻击 SYN,seq=xSYN,ACK,seq=y,ack=x+1RST,seq=x+1listenestablishedcloseSYN,seq=zSYN,ACK,seq=t,ack=z+1ACK,seq=z+1,ack=t+1establishedACK,se

12、q=x+1,ack=y+1想发送：x+1希望接收：y+1想发送：t+1希望接收：z+1客户端服务器seq=x+1,ack=y+1seq=z+1,ack=t+1seq=t+1,ack=z+101seq=y+1,ack=x+101100100100100Joncheray 攻击举例 SYN,seq=100SYN,ACK,seq=200,ack=101RST,seq=101listenestablishedcloseSYN,seq=3000SYN,ACK,seq=4000,ack=3001ACK,seq=3001,ack=4001establishedACK,seq=101,ack=201想发送：1

13、01希望接收：201想发送：4001希望接收：3001客户端服务器seq=101,ack=201seq=3001,ack=4001seq=4001,ack=3101假设每次传100字节seq=201,ack=201100100100100ACK风暴产生的原因：主机会在接收到一个它不期望的报文后，向对方返回一个ACK报文，告知对方它想接收什么报文，希望重新与对方同步服务器在接收到客户端发来的报文后，发现报文的序号不对，它会向客户端发送一个ACK报文告诉客户端它想接收的报文序号是什么客户端在收到服务器发来的报文后，也发现报文的序号不对，它又会向服务器发送一个ACK报文告诉服务器它想接收的报文序号是

14、什么这样就构成死循环，使网络上充满ACK报文直到其中一个ACK报文因为网络拥塞而丢失，死循环终止ACK风暴使Joncheray 攻击很容易被网络管理员发现实现会话劫持的工具Juggernaut最早的会话劫持软件，运行在Linux上自由软件，由Mike Schiffman开发攻击者可窥探网络中所有会话，并劫持任何一个，像真正用户一样向服务器提交命令Hunt由Pavel Krauz开发集嗅探、截取和劫持功能于一身的强大工具可在共享网络和交换网络中工作操作系统指纹识别技术操作系统指纹识别技术（OS fingerprinting）原理：RFC只是描述了TCP/IP协议，而没有规定具体怎么实现，各个操作

15、系统的设计者，对TCP/IP协议都有自己的理解和实现，造成了各个操作系统在TCP/IP协议的实现上有所不同（指纹）Nmap：操作系统探测工具，原理是操作系统指纹识别技术操作系统探测技术可以帮助攻击者发现对方主机存在的漏洞操作系统指纹不同操作系统对TCP/IP协议的实现可能在以下字段有所不同总长度(初始值)，16bit不分片标志，1bitTTL(初始值)，8bit窗口，16bit选项（类型2）：最大报文长度，16bit选项（类型3）：窗口扩大因子，8bit选项（类型4）：选择性确认，1bit选项（类型1）：无操作字段，1bit组成67bit的操作系统指纹实际上，只探测TTL初始值和滑动窗口大小就

16、足够猜出一台主机的操作系统类型了操作系统类型探测探测方法1：通过TTL初始值探测操作系统类型，不同操作系统使用不同的值Linux,TTL 64Unix,TTL 255Windows NT/2000，TTL 128探测方法2：通过窗口大小探测操作系统类型，不同操作系统使用不同的值某些操作系统中窗口大小在一次会话中经常改变（如：Cisco 2514，Windows NT）某些操作系统窗口大小在一次会话中维持不变（如：Linux默认窗口大小0 x7D78）通过初始序列号探测操作系统类型不同操作系统的初始序列号生成模式不同随即增量算法Solaris、IRIX、FreeBSD、Digital Unix、

17、Cray真正的随机数Linux 2.0.x、OpenVMS、新AIX“时间相关模型”：每隔一段时间在ISN上会被加上一个小常数）Windows固定3COM：0 x803Apple Laser Writer 打印机：0 xC7001为了防止攻击者容易猜出后续序列号，使系统遭到攻击为什么初始序列号通常是一个随机值而不是固定的？Nmap对移动终端操作系统类型支持较差作业使用Wireshark捕捉一个TCP会话，指出序列号的变化情况（注意相对序列号和绝对序列号）利用大滑动窗口漏洞猜测序号seq=501,window=500 RST ack=601ABABDATADATA1 100 101 200201 300 301 400401 500501 600601 700701 800801 900发送窗口已发送并确认收到确认即可右移不可发送已发送未确认可发送序号要落在等待被确认的数据段内A每次发100字节seq=501,window=500 RST ack=401